Cisco France Blog
Partager
tweet

Cisco France Blog > Réseaux

Réseaux

Nouveautés IOS-XE 17.5 sur switchs Catalyst 9000


26 April 2021

Pour ceux qui ont raté les épisodes précédents, IOS-XE c’est simple ! Un logiciel et un cycle de développement commun pour tout le réseau d’entreprise : switching, routing et wireless. Il y a 3 releases par an à des dates fixes (juillet, novembre et avril), et la version d’été bénéficie d’un statut “Extended Maintenance Release”, ce qui signifie qu’elle va être maintenue plus longtemps avec davantage de rebuilds (corrections de bugs ou de failles de sécurité).

La petite cartographie ci-dessous vous permet de visualiser tout cela clairement.

Alors quoi de neuf sur cette version 17.5 baptisée “Bengaluru” ? Comme toujours je ne liste ici que le principal rapidement. N’hésitez pas à vous référer aux release notes en référence pour avoir tous les détails officiels.

 

Support hardware

 

  • Support d’une nouvelle carte C9400-LC-48HN sur le Catalyst 9400 (48 ports mGig – 5Gbps max – offrant chacun 90W d’UPOE+ / 802.3bt)
  • Support d’un nouveau disque SSD de 240GB sur Catalyst 9300. Nous avions jusque là un disque SSD de 120GB. Ce disque est utilisé par les applications que vous souhaiterez déployer sur le switch via la fonction de app hosting.
  • Support du QSFP-40/100-SRBD sur Catalyst 9400

 

Amélioration du scale

 

  • Augmentation de 1k à 4k VLANs et instances PVST supportées sur Catalyst 9500H et 9600 via l’utilisation d’un SDM template customisé qui vous permet de définir comment vous répartissez la mémoire entre les différentes fonctionnalités.. 1k SVI supportées.
  • Amélioration très significative du nombre d’entrées NAT supportées sur Catalyst 9500H et 9600.
  • Côté VXLAN-EVPN, on passe de 256 à 512 VNI supportées (L2 et L3) sur toutes les plateformes (sauf Catalyst 9200 qui ne supporte pas VXLAN-EVPN)

 

Fonctionnalités Sécurité / Zero-Trust

 

  • Possibilité d’utiliser un FQDN dans une ACL pour le Central Web Authentication. A l’heure du cloud, un même FQDN peut pointer vers des ressources différentes selon la région dans laquelle on se situe. Plutôt que de se casser la tête sur des adresses IP dans les ACL on peut y ajouter directement un FQDN. Un nouvel AV-pair vous permet de définir ces FQDN ACL sur votre serveur Radius (par exemple Cisco ISE) et de les télécharger sur le commutateur pour éviter de complexifier les configurations.
  • Les Wired Dynamic Private VLANs permettent d’affecter un utilisateur à un Private VLAN dynamiquement au moment de sa connexion, depuis une policy définie sur votre serveur Radius. Cette solution permet de mettre en œuvre un premier niveau de micro-segmentation simplifié, en attendant éventuellement de déployer Trustsec et Cisco SD-Access qui assurent tout cela nativement via les SGT (groupes de sécurité)
  • Secure Network Analytics (aka Stealthwatch Cloud) est intégré nativement sur Catalyst 9200 et 9300. Un format d’export optimisé et sécurisé va exporter les flux transitant par le switch vers Secure Network Analytics (dans le cloud) qui vous alertera des menaces éventuellement observées.
  • Possibilité d’avoir un marquage DSCP des paquets Radius
  • Possibilité d’ajouter une ACL IPv4 et/ou IPv6 dans un interface template, très pratique pour simplifier/alléger la configuration des commutateurs.
  • Possibilité de désactiver les ports USB du switch depuis la configuration.

 

Plateformes et infrastructure

 

  • Support de Selective Q-in-Q qui vous permet d’avoir un contrôle fin du Q-in-Q et de définir des mappings entre les C-VLANs (customer VLAN) et les SVLAN (SP VLAN). C’était déjà partiellement supportée et nous avons le support étendu à toute la gamme Catalyst 9000, sauf sur les 9600 pour lesquels il faut attendre encore un petit peu.
  • gPTP over L3 unicast permet d’étendre le protocole de synchronisation temporel gPTP, conçu pour les réseaux L2, au-dessus d’une infrastructure routée. Disponible sur 9300, 9500 et 9500H.
  • ERSPAN over MPLS va vous permettre de faire une capture de trafic sur un PE et de le rediriger vers un autre PE pour analyse. Un nouveau paramètre VRF est ajouté à cet effet dans la définition de la redirection ERSPAN.
  • BGP Monitoring Protocol (aka BMP) est maintenant supporté et vous permet de monitorer dans le détail le protocole BGP qui tourne sur vos Catalyst 9000 depuis un BMP server (par exemple OpenBMP).
  • Support de WCCP over GRE sur Catalyst 9500H et 9600. Cela permet par exemple de rediriger certaines catégories de trafic vers une Web Security Appliance (WSA) via une encapsulation GRE.

 

Programmabilité

 

  • Support du RBAC pour les API NETCONF, RESTCONF, GNMI. Préalablement il fallait forcément un privilège de niveau 15 pour pouvoir utiliser ces API. Maintenant il est possible de définir un accès read-only ou des accès avec des privilèges moindres. A noter que les informations sensibles sont masquées pour ces utilisateurs.
  • NETCONF permet de locker la base de données de configuration pour éviter des accès concurrents. Une nouvelle optimisation permet de spécifier ici le temps durant lequel on souhaite locker la base de données, pour que d’autres évitent de réessayer bêtement de se connecter.
  • Utilisation de schémas divers dans un seul API call avec GNMI. On peut imaginer ainsi configurer une interface via un schéma OpenConfig et activer la télémétrie via un native model IOS-XE. Préalablement il fallait 2 API Calls différents pour faire cela (un appel par modèle utilisé)
  • GNOI est une API liée à l’opération des équipements eux-mêmes (indépendamment de la configuration). On supporte dans cette version la capacité d’installer, vérifier et activer un nouvel IOS-XE via GNOI. Vous ne pensiez tout de même pas qu’on allait automatiser que les configurations?
  • Ajout d’un modèle complet pour les opérations sur le protocole LISP.
  • Et pour ceux qui s’entêteraient à persévérer avec Openflow sur le campus, j’ai le plaisir d’annoncer le support de la redondance de ce protocole en SSO (Stateful SwitchOver) sur Catalyst 9400. Vous avez de quoi faire encore quelques tests pour continuer à vous amuser 🙂

 

Références

 

Vous avez noté que j’essaye de rester discipliné et de continuer à vous informer des nouveautés IOS-XE release après release. Aussi n’hésitez pas à partager, liker etc. pour me motiver à poursuivre l’effort 🙂 A très bientôt pour un update IOS-XE 17.5 sur le routing et le SD-WAN.

@JeromeDurand

Tags:
Laisser un commentaire